Quali sono le migliori pratiche di sicurezza per proteggere una videocamera IoT remota?

Ho fatto un po 'di automazione domestica come la costruzione di una videocamera remota che può essere accesa tramite SSH localmente e pubblica immagini su un server Linux Raspberry Pi.

Sono curioso, tuttavia, di quali protocolli siano meglio seguiti quando la tua sicurezza è dietro un router. Ho usato cose come Putty e ho aperto le porte in modo da poter scavare dentro ma non immagino che questi siano i metodi più sicuri.

Mi chiedo quali protocolli / strumenti siano meglio utilizzati quando si accede da remoto a un sistema server domestico.

PuTTY è in realtà abbastanza sicuro: la sessione stessa è crittografata. Fa parte di ciò che SSH ti offre "out of the box". Faccio un sacco di questo tipo di cose da solo, e qui ci sono alcuni punti positivi che suggerirei:

• Non aprire la porta 22 al mondo: configura il tuo server SSH per l'ascolto su una porta non standard (ad es. 22022 o 2222) sulla tua interfaccia WAN
• Richiedi l'autenticazione per accedere a qualsiasi pagina Web con le tue immagini di sicurezza. Anche se si tratta di HTTP-AUTH semplice che utilizza file .htaccess, è meglio di niente.
• Usa SSL per parlare con i server web, anche se sono dietro il tuo router
• Usa OpenVPN o un'altra tecnologia VPN per accedere alle tue macchine domestiche da qualsiasi cosa al di fuori del router. Ciò ovvia alla necessità di un accesso SSH diretto, anche se di solito mi piace mantenere SSH diretto disponibile nel caso in cui i servizi VPN falliscano.

Le altre risposte riguardano molte delle tecnologie che è possibile utilizzare per proteggere il sistema. Ecco alcuni pensieri / filosofie più generali.

1. Una DMZ è tua amica - In quasi tutti i casi in cui hai un servizio di fronte a una rete esterna, una DMZ (vedi a.) Sarà molto utile. In questo caso minimizzerà la superficie di attacco e minimizzerà il danno. Limitando il numero di dispositivi nella DMZ solo a quelli che necessitano di accesso esterno, si limita la superficie di attacco. Inoltre, la DMZ renderà molto più difficile per chiunque accedere alla tua rete principale, minimizzando così il danno.
2. Lista bianca, non nella lista nera : per impostazione predefinita, ogni protocollo, porta e connessione interna dovrebbero essere bloccati per impostazione predefinita. Questo blocco dovrebbe essere configurato nel dispositivo (se possibile), nel firewall e nel router. Abilita solo le opzioni che stai utilizzando attivamente e solo per i dispositivi che ne hanno bisogno. Se conosci e devi utilizzare un protocollo per un dispositivo IoT debole (ad esempio i dispositivi interessati da Mirai), dovresti configurare un dispositivo (come un RaspberryPi) che funga da relè. Isoli completamente il dispositivo dalla rete e comunichi con esso solo tramite un protocollo sicuro (ssh, vpn ecc.) Che RaspberryPi trasforma nel protocollo di cui il dispositivo ha bisogno.

• Informazioni su DMZ da Security.SE

SSH è un ragionevole punto di partenza, è essenziale utilizzare la crittografia TLS e utilizzare putty per l'accesso ssh è un modo per raggiungere questo obiettivo. Una VPN è un'altra. Ciò che è veramente importante è che usi passphrase o chiavi forti per accedere ai dispositivi all'interno della tua rete e che mantieni aggiornati i dispositivi gateway.

L'uso di una porta non standard è abbastanza ragionevole, ma non fa nulla per proteggere la tua rete se lasci il tuo dispositivo con una password predefinita (o comune).

Se si desidera l'accesso remoto, è necessaria una porta aperta per inoltrare SSH (o qualcosa di molto simile). Se non ti fidi dell'implementazione della sicurezza sulla videocamera (ovvero l'ultimo aggiornamento del firmware è stato eseguito circa 6 mesi fa), devi utilizzare una VPN per creare un segmento di rete isolato. Se ha WiFi e vecchio firmware, potrebbe anche essere completamente aperto e pubblico (almeno per chiunque si trovi nelle vicinanze fisiche).